RE: lug-bg: IP conflict.
- Subject: RE: lug-bg: IP conflict.
- From: "Stoimen Gerenski" <stoimen.gerenski@xxxxxxxxxxxxxx>
- Date: Fri, 3 Dec 2004 05:10:46 -0800
Title: RE: lug-bg: IP conflict.
Това което по-скоро ме интересува е дали ако аз си ползвам даден МАК/ИП и се получи друга такава комбинация (МАК/ИП) да мога да разбера по някакав прост начин (какво в Прозорци се появява съобщение за ИП конфликт - не знам дали това разчита на резултат от АРП заявка). Примерно решение е ако в логовете се появи подобно съобщение за колизия на ИП или МАК).
--
Regards,
Stoimen
> -----Original Message-----
> From: owner-lug-bg@xxxxxxxxxxxxxxxxxx [mailto:owner-lug-bg@linux-
> bulgaria.org] On Behalf Of v0yager@xxxxxxx
> Sent: Friday, December 03, 2004 2:36 PM
> To: lug-bg@xxxxxxxxxxxxxxxxxx
> Subject: Re: lug-bg: IP conflict.
>
>
> Здравей, arpwatch е добро решение, но доколкото (не)познавам
> технологията, мисля че единствено менажеруем суитч с
> включен "switchport security" (така мисля се казваше
> екстрата, дето режеше по мак... и трябва естествено и мак
> таблицата на свитча да е зададена статично. Малко неудобно,
> но страшно ефективно. Може и 802.Х1... :) но целта
> доколкото разбрах е да не е мн сложно.) би бил добро
> решение за (по-сериозна) защита от някоя машина да се
> представя за друга... Защото освен IP spoof може да се
> прави и ARP спуф (смяна на мак адерса става с 1 ред)... (В
> смисъл засичането разчита на това, че само логическия или
> физическия адрес се споофят... И тогава е лесно да се
> разбере за споофа. (кой...).
>
> Каква ли веселба ще падне ако се споофи и на двете нива?)
> Доколкото ги разбирам стандартите, няма проблем да имаме 2
> хоста с еднакви IP и ARP адреси в един сегмент. (забележете
> буквичката "и". Иначе - манджа с грозе. кой с кой говори
> никой не може отговори (т.е. може де, но... трябва да се
> хвърля боб...)). (Хмм... интересно как биха се държали
> евтините суитчовете при подобна ситуация?)
>
> Лесен начин да се установи такова положение е като се пусне
> пакет arp who-has a.b.c.d и се получат 2 отговора... или
> получаването на външен интерфеис въобще на пакети с source
> нашия мак... Но това е само предположение. Не претендирам,
> че ги разбирам много добре нещата, тъй като това е нова
> област за мене... мрежи и мрежова сигурност изучавам от не
> много отдавна.
> С arpwatch все още не съм се занимавал, но трябва да го
> погледна скоро време... :))
>
> За сега мрежовата сигурност я разбирам така: лош човек
> получи ли достъп до вътрешната мрежа, каузата е почти
> загубена... Получи ли локален достъп (shell) на някоя
> машина, каузата е загубена...
> Поздрави
>
> Послепис: Ако машина Л(ош) се представи за машина П(рецакан
> потребител), едноврменно на нива 2 и 3 от оси модела, и се
> използват евтини суитчове (или просто неправилно
> конфигурирани), и машина П е изключена в този момент, няма
> как да се разбере че става яко спооф... Или греша?
>
> -----------------------------
>
> Всичко е по-бързо и сигурно с
> БТК ADSL! www.telecom.bg
>
> ==========================================================================
> ==
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
> Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ==========================================================================
> ==
|